Agregação de alertas

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • A capacidade de agregação de alertas aprimora Gestão de eventos com análise de dados de alerta e agregação de alertas. A agregação de alertas ajuda a organizar os alertas recebidos em tempo real e a reduzir o ruído do alerta.

    Os clientes geralmente lidam com ruídos de alerta alto e têm um tempo médio de reparo (MTTR) longo. Há uma grande quantidade de sobrecarga envolvida na mediação de muitos alertas, que não são agrupados logicamente.

    A agregação de alertas é uma das muitas maneiras de gerenciar alertas. Existem várias maneiras de agregar alertas. Alguns são baseados na lógica definida por você (Manual, Base de regra ou Cluster de marcador) e outros algoritmos de última geração que podem ser ajustados por você (Automático, CMDB, Baseado em texto, e Análise de logs). Existem diferenças de comportamento para alertas baseados em regras e manuais. A principal diferença é que, quando o grupo é criado, um dos alertas reais é escolhido para ser o alerta primário. No modo Automático, CMDB, Baseado em texto, você pode criar um alerta virtual que é o primário dos alertas reais. O protótipo de alerta virtual é o alerta mais antigo e grave do grupo.

    Os grupos de alertas consistem em alertas primários e secundários. Os alertas primários podem ser um alerta real (Manual, Base de regra e Log Analytics) ou um alerta virtual (Automático, CMDB, baseado em texto ou cluster de marcador).

    Para agrupar alertas em grupos Automático, CMDB e Baseado em texto, um trabalho programado – “Alertas de grupo de Análise de serviço usando RCA/Agregação de alertas” que geralmente é executado uma vez por minuto é usado.

    Os parâmetros a seguir são usados para definir quais alertas são agrupados:
    • O parâmetro sa_analytics.aggregation_enabled. Habilite a criação de grupos de alertas automatizados definindo a propriedade Habilitar agregação de alertas para grupos automatizados, do CMDB e baseados em texto como verdadeiro.
    • O parâmetro sa_analytics.agg.query_dynamic_window. Isso é definido por padrão como 10 minutos. O parâmetro define a diferença de tempo máxima entre a última hora de geração de evento de dois alertas que podem ser adicionados a um grupo, com um valor padrão de 600 segundos (10 minutos).
    • O parâmetro sa_analytics.agg.query_max_group_lifetime. O período máximo de tempo desde a última geração de evento do primeiro alerta até a última geração de evento do último alerta do grupo. O parâmetro é definido por padrão como 1800 segundos (30 minutos).
      Nota:
      Nos casos em que os eventos chegaram com um atraso superior a 1.800 segundos, a última geração de evento dos alertas pode ser associada ao grupo, definindo o parâmetro sa_analytics.agg.group_expiration_time com um valor superior a 1.800 segundos.

    Por exemplo: suponha que você tenha os seguintes alertas com o mesmo IC. (Todos eles podem ser adicionados ao mesmo grupo do CMDB).

    • Alerta1: última geração de evento 01:00:00
    • Alerta2: última geração de evento 01:11:00
    • Alerta3: última geração de evento 01:13:00
    • Alerta4: última geração de evento 01:16:00
    • Alerta5: última geração de evento 01:25:00
    • Alerta6: última geração de evento 01:34:00
    • Alerta7: última geração de evento 01:43:00

    Alert1 e Alert2 não estão agrupados, pois a diferença de tempo entre eles é superior a 10 minutos.

    Alert2 e Alert3 criam um grupo em 1:13:00.

    A janela dinâmica de 10 minutos começa da seguinte forma:
    • O Alert4 é adicionado ao grupo às 1:16:00 e a janela dinâmica de 10 minutos é reiniciada.
    • Alert5 é adicionado ao grupo, já que a hora da última geração de evento é inferior a 10 minutos após 1:16:00.
    • Alert6 é adicionado ao grupo.
    O Alert7 que chegou 9 minutos depois do Alert6 não foi adicionado ao grupo, já que o limite sa_analytics.agg.query_max_group_lifetime de 30 minutos passou após a criação do grupo 1:13:00+30 = 1:43:00.
    Use a agregação de alertas para fazer o seguinte:
    • Agregue alertas para criar grupos de alertas automatizados.

      Correlacione alertas de acordo com carimbos de data/hora e identificação de IC para criar grupos de alertas automatizados.

    • Correlacione alertas com base nos relacionamentos de ICs no CMDB para criar CMDB grupos de alertas.
    • Correlacione alertas com base na semelhança de texto de alertas usando NLP (Natural Language Processing).
    • Gere um padrão para um Adicionar alerta a um grupo de alertas e crie um grupo de alertas automatizado de acordo com esse padrão.

    Gestão de eventos agrupa alertas semelhantes, mas não necessariamente idênticos. O agrupamento também se baseia na proximidade no tempo da última geração de evento dos alertas. Alertas com o mesmo IC são agrupados.

    A agregação de alertas automáticos tem os seguintes componentes:
    • Aprendiz de agregação de alertas ( Aprendiz de agregaçãode alertas de análise de serviço - Diário) — Um trabalho off-line que é executado diariamente para processar alertas anteriores e executar análises estatísticas para criar padrões de alerta. Para obter detalhes, consulte Configurar agregação de alertas baseada em padrões.
    • Trabalho de agregação de alertas em tempo real (Alertas de grupo de Análise de serviços usando RCA/Agregação de alertas) — É executado a cada minuto e gera grupos de agregação de alertas com base em padrões de alerta, relações do CMDB e semelhança de texto.
    Nota:
    Em ambientes separados por domínio, os grupos de alertas são criados somente para alertas no mesmo domínio.